PT-2021-22413 · Istio · Istio
Yangminzhu
·
Publicado
2021-08-24
·
Atualizado
2022-08-12
·
CVE-2021-39156
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Istio 1.11.0, 1.10.3 e anteriores, e 1.9.7 e anteriores
Versões do Istio anteriores à 1.11.1, 1.10.4 e 1.9.8
Descrição
O Istio é uma plataforma de código aberto que oferece uma maneira uniforme de integrar microsserviços, gerenciar o fluxo de tráfego entre microsserviços, aplicar políticas e agregar dados de telemetria. Existe uma vulnerabilidade explorável remotamente em que uma solicitação HTTP com
#fragment no caminho pode contornar as políticas de autorização baseadas no caminho URI do Istio.Recomendações
Para as versões 1.11.0 e anteriores do Istio, atualize para a versão 1.11.1 ou superior.
Para as versões 1.10.3 e anteriores do Istio, atualize para a versão 1.10.4 ou superior.
Para as versões 1.9.7 e anteriores do Istio, atualize para a versão 1.9.8 ou superior.
Como solução alternativa temporária, considere escrever um filtro Lua para normalizar o caminho.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Istio